APT
Nejprve pár slov o
použití termínu "APT"
Pokročilé trvalá hrozba (APT) bylo získat spoustu tisku
v uplynulém roce. Tam je spousta debata přes zda APT je "kdo", nebo je "jak".
Nicméně, tam je malá debata o módní slovo status APT. To je, jak jsem se
používat termín dnes: jako módní slovo, které vám pomohou
pozornost manažerů
'a dostat je ke stolu pro toto cvičení. Stejně jako všechny bezpečnostní úsilí,
pokud vám chybí podpora řízení, budete pravděpodobně nezdaří.
Proč
potřebujete cvičení
Výskyt APT je low-frekvence vysoce-dopad
incidentu. Nejste pravděpodobně zásady, postupy a spustit-připravené knihy. Není
mnoho lidí,
kteří mají první ruky-zkušenosti s bojem proti ní a že bude
těžké najít, když budete skutečně potřebovat. To je důvod, proč je třeba pružně
reagovat
rámec a projít scénářů, jako je tato, aby zůstali připravené.
Před cvičení
Budete chtít připravit vhodné komunikační dostat své poselství k
řízení a účastníků, může to být tak jednoduché, jak e-maily, ale moje požadovat
úplné
zprávy nebo prezentace v závislosti na vaší organizace. Tato zpráva by
měla minimálně obsahovat popis hrozby, a jak to může ovlivnit vaši firmu. Nebo
"co je APT" a "proč bychom se měli bát?"
Popisovat APT-jako události
Můžete Google kolem a najít nějaké opravdu skvělé bloggerů diskusi
APT. Management nebude vědět tyto lidi tak to nemusí být jediný zdroj, který
chcete zahrnout.
Já bych doporučit zprávy v médiích (zejména média, že vaše
vedení čtenářů) o těchto high-profil události:
Google Aurora
NASDAQ
Noční Dragon
RSA
Proč bychom se měli obávat?
To je klasický "proč bych
se měl starat", otázku, která jste zvyklí na manipulaci s. Pokud nejste na
seznamu cílů zřejmé-už možná budete chtít zdůraznit,
že každá organizace má
své tajemství, a jiné skupiny pravděpodobně chtít těch tajemství, a to buď pro
přímý zisk, nebo jednoduše po nich na internetu,
aby vás vypadat špatně
.Tyto skupiny mohou využívat taktiky podobné těm vysoce-události profilu, a to
je účel tohoto cvičení, zjistit, zda jste připraveni
zvládnout takovou
pozornost.
Příprava Oznámení
Budete začít cvičení s "oznámení". Nepochybně
bude vaše organizace se dozvěděla o akci prostřednictvím návštěvu nebo
telefon-hovor od vlády nebo zákon-vymáhání agentury.
Budou kontaktujte svého
vyššího managementu, nikoli bezpečnostní tým nebo help-desk. To nebude dobrý den
pro všechny z vás, tak znovu, je to dobrý nápad
zapojit horní vedení v tomto
procesu, takže vědí, na koho se obrátit poté, co byly informovány o incidentu.
Scénář bude něco jako: "jsme se naučili, prostřednictvím informátora, který si
korunovační klenoty byly odcizeny, si myslíme, že kompromis došlo k více než
šesti
měsíci a útočníci možná použit jeden nebo více z následujících IP
adres," a poskytují seznam 62 IP adres.
Vždy obsahovat seznam věcí, hledat a
seznam bude obsahovat mnoho falešných-vede, a pravděpodobně bude obtížné využít
ve vašem prostředí. To není neobvyklé,
že se zobrazí seznam desítek IP
adresy, doménová jména, a MD5 otisk podezření na malware s malou nebo žádnou
kontextu, a pokud jste řekl, čas-rám okna událost
je obvykle velmi široká
vzhledem k nejistota, která vyšetřovatelé v časných stádiích události.
První
cvičení
Před zadávání úkolů a točí se reakce na události v procesu první věc,
že účastníci musí určit, je ", kdo by měl být informován o incidentu," a "kdo
by měl být zapojen v odpovědi."
Jsou tam lidé chybějící z tabulky, která by
měla být účast? Jakmile jste zachytil svůj seznam lidí, které je třeba okamžitě
informován, vymyslet, jak bude toto oznámení doručena.
Máte-po hodinách
kontaktní informace pro každého na tomto seznamu?
To by mělo být první
dodávky vyrobené z tohoto cvičení.
Máte-li luxus držet multi-den cvičení by
to být dobrý čas na přestávku. Vyzvat ty, kteří byli identifikováni jako
chybějící od stolu, a připravit nouzový kontakt proces dokumentace.
Účastníci by měli užívat čas na přemýšlení, jak by prošetřila omezené informace
uvedené v původním oznámení.
Vytvoření Time-line z útoku
Jako organizátor
víte, co se opravdu stalo ve scénáři a pohon účastníků 'objev procesu. Udělejte
si čas vzorek-line níže a přizpůsobit ji pro vaše prostředí. Některé změny
budou snadné, jiní mohou mít trochu kreativní a nevyzpytatelný myšlení
( např. přijít s věrohodný způsob, jak se útočníci mohou vytvořit velení a
řízení kanál z vaší firmy.)
V době pod-line je produkt syntézy mnoha
posledních detailů, které byly publikovány, příběhy pro mě v barech a jiných
nespolehlivých a spekulativní zdrojů. Jak se říká
v televizi, veškeré
podobnosti se skutečnými událostmi je čistě náhodná. Bylo vyvinuto úsilí, aby se
čas-line realistické tak, že tam může být hodnota získané z výkonu.
Po celou
dobu-line budu volat některé check-bodů za vlajky jako protivník dosáhl kritické
fáze v útoku. Tyto vlajky jsou prezentovány organizovat diskuse a přestávka
této rozsáhlé a složité akce se stanoví na zvládnutelné kousky. Ty mohou být
také použity v každém budoucím pero-testování procesu měřit úspěch, nebo třeba
přezkoumat
na vlastní auditorské k měření detekční a kontrolní činnosti na
místě se bránit, že vlajku.
První fáze
První budou shromažďovat
informace o vás, vaší organizace a prostředí. To bude velmi těžké odhalit, a
budete pravděpodobně nikdy vědět, kdy to začalo a co informace,
které
shromáždili. Můžete si být docela jistý, že Google a vašich vlastních
marketingových a PR snahy byly zapojeny.
Tam bude nějaký průzkum, průzkum
sítě, nebo zranitelnosti vašich webových aplikací. Bude velmi obtížné určit, co
bylo v souvislosti s eventuální útok a to, co bylo jen další den na internetu.
První úspěšný útok bude pravděpodobně zahrnovat webové aplikace. SQL injection
nebo souboru-injekce zranitelnost bude zneužita na jednom ze svých serverů web-.
Toto je první příznak, SQL injection uniká heslo hash, nebo podrobnosti o
účtu. Ty budou exfiltrated ven mezi HTTP požadavků z útoku, a všechny hodnoty
hash projdou
krakování. Mají rainbow tables, a paralelní-výpočetních zdrojů,
tak nakonec heslo bude klesat k tomuto úsilí a budou se muset pracovat účet v
systému. To je další příznak:
pracovní uživatelské jméno a heslo
dvojice. Nicméně, pokud vzdálený soubor-zařazení zranitelnost je nalézt a
zneužít (vlajka), že nyní mají příležitost k poklesu souborů v
systému a
spustit je přes webové požadavky. Nejprve to bude jednoduchý soubor
Přidal-stránky, že pokles pomocí souboru-injekce. Pak budou vkládat on-line
ovládací panel
v systému (příznak), a za použití stejného přístupu na web,
který vám poskytne na internet, mohou nahrát a spustit libovolný kód s využitím
oprávnění procesu webového serveru ID.
Budou pokles více nástrojů na serveru,
se zaměřením na heslo hash na samotný systém (flag.) Tyto budou stáhl systému
přes HTTP a podrobí se stejné heslo útoky.
Jeden mají pracovní účty na úrovni
systému (vlajka) budou se používat, že k přihlášení do jiných systémů pomocí
on-line ovládací panel (vlajka - můžete zjistit, že váš
web-server je
přihlášení do jiných systémů?)
Jejich cílem je vaše doména Active server
(nebo vaše firma ekvivalent centralizovaný systém řízení přístupu.) Jakmile
budou k dispozici pracovní účet na tomto serveru,
bude se pokusí pozvednout
oprávnění dost chytit heslo hash. Pokud používáte stejný admin heslo pro webové
servery, jak budete ve vašem Active server domény,
pak se můžete přeskočit
tento krok - jste to mnohem jednodušší pro ně.
Druhá fáze
Vyzbrojeni pracovní účty, a uživatel-listy, a další veřejné informace o vaší
firmě / životní prostředí, budou plavidla cílený e-maily o klíčové hráče ve vaší
organizaci.
Tyto zprávy budou obsahovat škodlivý buď jako náklad, nebo
obsahují odkazy na stránky, které bude kompromisem čtenáře a nainstalovat
vzdálený přístup--nástroj v systému (flag.)
Velení a řízení metodou
používanou těchto nástrojů bude směs nových a staré školy. Očekávejte něco jako
chytrá zakódované DNS provoz na něco tak jednoduchého
jako reverzní telnet
vysolit na ohrožena poskytovatele hostingu. Toto je místo, kde budete muset být
kreativní a přizpůsobit to na něco, co by ve vašem prostředí.
Je to také
příležitost vrhnout nějaké světlo na všechny bezpečnostní díry, do očí bijící,
že jste si vědomi a chtějí vyššího managementu, aby pomohli s
(např.
nedostatek odchozí filtrování, nebo široký otevřený proxy server politiky.)
Heist
V tomto bodě, útočníci jsou v pozici, na výzkum, kde jsou vaše klíčové
dokumenty v držení, a jak se chytit. Jakmile mají vnitřní systém pod jejich
kontrolou,
a je to jen otázka času, než oni jeden mít heslo správce nebo
schopnost podporovat účet (vlajka - jste varování o tom, kdy účty
překlasifikovat nebo,
pokud je správce přihlášení přímo systémů?) na
oprávnění správce. Oni budou pohybovat od stroje ke stroji hledá pro jejich
konečné cíle (flag.)
Jednou našel, to půjde ven přes stávající velení a
řízení kanály (tj. nástroj pro vzdálený přístup nebo HTTP ovládací panel), nebo
přímo z e-mailem.
Příklad Vlajky pro cvičení
Tyto vlajky jsou bych použil
pro výkon výše uvedené:
Phase One
SQL injection objevil na webové aplikace
SQL injection využít pro vystavit webové aplikace hashe autentizace
Přístupné
na webové aplikace získaných pomocí popraskané heslo
Soubor vzdálené Zahrnutí
zranitelnost objevena v ověřené oblasti webových aplikací
RFI zranitelnosti
využít pro spuštění ovládacího panelu
Soubor nahrál skript v systému
nainstalován pomocí ovládacího panelu
Heslo hash nástroj pro extrakci nahrát
na webový server
Web-server heslo hashe extrahovat
Web-server pokusy o
přihlášení do řadiče domény služby Active.
Druhá fáze
Člen vedení Horního
dostane škodlivý soubor PDF
Člen Obchodní oddělení dostane škodlivý tabulky
Člen IT oddělení obdrží odkaz na škodlivý video
Vzdálená-Access-Tool je
nainstalován na jeden nebo více z kopí-phishing cíle
Command-a-Control kanál
je vytvořen na vnitřní ploše nebo notebooku
Heslo extrakční nástroje jsou
nainstalovány v systému ohrožena.
Heslo hashe jsou extrahovány
Ohrožena
systému přihlásí do řadiče domény služby Active.
Nové účty jsou přidány do
domény a udělil oprávnění správce.
Heist
Ohrožena systém připojí jednotku
obsahující korunovační klenoty.
Soubory jsou komprimovány a nahrány na webové
stránky na internetu
Podrobně Vlajky
Pro každou vlajkou se chystáte dát
přibližný čas, že to nastane. Počínaje první vlajka, "SQL injection objevil na
webové aplikace," poznámka přibližný uplynulý čas.
Některé vlajky budou
následovat v rychlém sledu, ostatní mohou počkat několik týdnů nebo měsíců jako
heslo hash jsou napadeni. Fáze jedna a druhá fáze se
mohou překrývat. Možná
budete chtít dát více vlajek v modelovat, jak se skupina může prozkoumat vaše
životní prostředí a vyzkoušet různé techniky.
Kromě časování každé
vlajky. Budete chtít na vědomí, jak to příznak se může projevit ve vaší
organizaci přihlásí k ospravedlnění, jak byl objeven krok ve Vaší firmě.
Ne
každý vlajku nechá snadno log důkazy. Možná poznámka pod vlajkou jako "v
současnosti nezjistitelné" tím, že váš systém, a to by byl "objeven" v rámci
výkonu
z něčeho víc intenzivní, jako je forenzní analýzu nebo objevit na
fiktivní externí konzultant přinesl doplnit svůj tým.
Prezentace událostí
Po ukončení práce se svůj vlastní čas-line v útoku, seznam všechny jednotlivých
vlajek v chronologickém pořadí. Přijít s věrohodný způsob, který může zjistit,
že událost, bude tato příručka vám písemně objevu fáze cvičení. Například, daný
IP adresy poskytnutých oznamující agentury, možná zjistíte, jeden z těch IP
adres jako jeden z velení a kontroly koncových bodů, a že by vás jeden z
interních infikovaných systémů.
Je to společné dílo zpět od objevu incidentu
na příčinu. Tak to má smysl prezentovat vlajek v obráceném chronologickém
pořadí-- i když tam může být případ,
kdy objev první a druhé fáze útoku
dojít souběžně.
Jakmile budete mít uvedeny mimo pořadí, ve kterém budete
prezentovat své akce připraví na některé otázky kolem každého vlajku. Zpočátku
budete diskutovat o tom,
jak byste zahájit tuto událost, ale později byste
se měli zaměřit na to, jak byste druhově odhalit útočník dosažení tohoto
vlajku. Dalším produktem tohoto procesu
bude seznam doporučení, aby bylo
možné odhalit útočníky budoucnost, zatímco oni se snažíte dostat, a zastavit je
dříve, než se dostat příliš daleko. Nikdo nechce dostat,
že telefon-hovor
říkat jim, že jsem měl hlavní kompromis.
Balit?
Na konci tohoto cvičení
byste měli mít pracovní CERT kontakt listu. I když nejste zpočátku vědomi toho,
že všichni by měli být informováni o události jako je tento,
je nyní členem
vaší organizace Emergency Response Team.
Pro každou vlajku, měli byste mít
uvedeny z vašeho plánu zjistit, kdy útočník dosahuje této fázi ve vašem
prostředí. Měli byste mít identifikovaných existujících ovládacích prvků,
nebo poukázat na potřebu dodatečných kontrol. Budete mít pravděpodobně určeny
případy, kdy jednotlivé záznamy by vás varoval o velký obrázek, ale ve vzájemné
shodě,
by několikanásobné záznamy, které správně upozornil na loupež. Jít s
diskusí o tom, jak můžete získat různé skupiny spolupracovat a sdílet záznam a
záznam dat.
Výsledky této činnosti by měl být sepsán, sdílené s horním
řízení, audit a pero-testování týmu. Za to, že zjistíte, že máte mnohem více
práce. Líto. Jediné, co mohu říct je,
že je to lepší než vaše CEO dostat
telefon-hovor ze zvláštní agent Smith.